松浦研究室のメンバー
2025年2月現在
一覧
メンバー紹介
研究テーマ
Publications
-
細井琢朗,
松浦幹太.
Proof-of-Verification の実装負荷評価その1: Transaction の署名検証,
電子情報通信学会総合大会2024,
2024
[detail]
abstract
Bitcoin は blockchain 技術を用いることで,
信頼できる第三者無しに暗号通貨を実現している.
計算力を要する Proof-of-Work(PoW)に成功すると
次の block が生成できるため,
block 生成者は他の高負荷計算,
例えば transaction(Tx)の署名検証を省く動機を持つ.
これが行われた分,Bitcoin は健全性を落とす.
松浦が提案した Proof-of-Verification(PoV) は,
署名検証の証跡を block に含めることでこの動機を抑える方式である.
原理的には PoV 機能の追加で計算負荷の増加はほぼ無いが,
多数の Tx を扱う Bitcoin の実システムでは
実装して確認する必要がある.
我々はこの PoV を実装して計算負荷の計測を行い,
Tx の署名検証では事実上増加が無いことを確認した.
今後は block 生成と検証も実装し,
将来は PoV を前提とした省電力化の計測も行う予定である.
-
大橋盛徳,
張一凡,
細井琢朗,
松浦幹太.
DAGベース分散タイムスタンプ手法の検討,
第194回マルチメディア通信と分散処理・第100回コンピュータセキュリティ合同研究発表会,
pp.online,
2023
[detail]
abstract
データ活用のニーズの高まりに伴い,
データの存在証明は金融取引の台帳管理と同様に重要となっている.
昨今で存在証明に使われることが多くなったブロックチェーンは,
仮想通貨を起点とした技術であり,
コンセンサスなどのセキュリティ対策や台帳の保存に多くの計算資源が必要である.
ブロックチェーンを活用した存在証明の利用者は,
これらのリソースに対して手数料を支払い利用する.
しかしながら,
データ操作ごとに手数料を支払い,
存在証明を取得することは現実的ではない.
そこで,
我々はDAGベースの分散タイムスタンプ手法を考案した.
本手法は,
ブロックチェーンのような統一的な状態生成を廃し,
ネイティブトークンを用いたインセンティブではなく,
自身のデータの存在証明確保をモチベーションとして,
ユーザ自身が提供する計算資源で動作することを目指した.
本稿では,
考案したDAGベースの分散タイムスタンプ手法について解説する.
-
細井琢朗,
松浦幹太.
POW型ブロックチェーン安全性証明の明示的定式化,
第174回マルチメディア通信と分散処理・第80回コンピュータセキュリティ合同研究発表会,
Vol.80,
No.8,
pp.online,
2018
[detail]
abstract
Garayらが 2014年に行ったPOW型のブロックチェーンに対する安全性証明では、その結果得られた攻撃成功確率に、安全性に関わる可能性のあるパラメータが陽に書かれていないため、結果のパラメータ依存性を追うことができない。
また、安全性証明の中でいくつかの内部パラメータを理由なく特定の値に限定して証明が記述されている、という問題もある。
本研究では各パラメータを陽に記述しつつ上記の安全性証明をたどり直し、これらの問題を解決し、ブロックチェーン技術の安全性が持つパラメータ依存性を明らかにした。
その結果、POWの難易度と計算速度、全参加者数は証明される安全性にほぼ影響を与えないこと、全参加者数に占める正常参加者数、攻撃者数の割合は安全性に影響するが、相補的に働くことが分かった。
-
Kanta Matsuura,
Takurou Hosoi.
Mechanism Design of Data Sharing for Cybersecurity Research,
IPSI Transactions on Advanced Research,
Vol.11,
No.1,
pp.35-40,
2015
[detail]
abstract
If we want to realize a scientific approach to cybersecurity, we need objective
and reproducible evaluation of security.
Although some of cryptographic
technologies have rigorous security proofs, a lot of cybersecurity technologies
rely on experimental evaluation which needs good datasets.
One may expect that
sharing such datasets would help at least the reproducibility of the evaluation.
At the same time, one may be afraid that effective mechanism design is difficult
because there have been a lot of studies on disincentive problems
(e.g.
free-riding) associated with information sharing in cybersecurity.
However, the requirements and typical solutions for data sharing would be
different from those for information sharing.
In this paper, we comprehensively
discuss the features of "data sharing for cybersecurity research" based on a
systematic comparison with "information sharing for cybersecurity practice".
We
also report a Japanese case in the field of malware analysis.
One important finding is that considering human resource development is an
important factor in the activities associated with data sharing.
-
細井琢朗,
松浦幹太.
TCP再送タイマ管理の変更による低量DoS攻撃被害緩和の実験評価,
2014年コンピュータセキュリティシンポジウム(CSS2014)予稿集,
CD-ROM,
2014
[detail]
abstract
インターネットの重要な通信輻輳制御の一つである
TCP再送タイムアウト機構を悪用することで、
TCP通信に対して
低平均通信量でのDoS攻撃が可能になることが
既存研究で指摘されている。
我々はこの被害を緩和するような
再送タイマの管理方法の変更を以前に提案した。
また、
簡単な攻撃被害のモデルの下で
この提案方式の被害緩和効果を解析的に評価した。
本稿ではこの被害緩和効果を実験的に評価した結果を報告する。
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with mean low-rate traffic.
We proposed a mitigation measure against this attack
by changing TCP retransmission timeout management,
and evaluated its mitigation analytically
under a simple attack damage model.
In this paper,
we report experimental evaluation results
about effectiveness of above attack mitigation.
-
Kanta Matsuura,
Takurou Hosoi.
Data Sharing for Cybersecurity Research and Information Sharing for Cybersecurity Practice,
The 8th International Workshop on Security (IWSEC2013),
2013
[detail]
abstract
When we want to realize a scientific approach to cybersecurity,
we need objective and reproducible evaluation of security properties.
Although some of cryptographic technologies have rigorous security proofs,
a lot of cybersecurity technologies rely on experimental security evaluation
which needs good datasets.
One may expect that sharing such datasets would help
at least the reproducibility of the evaluation.
At the same time, one may be afraid
that effective mechanism design is not trivial because there have been a lot of
studies on disincentive problems (e.g.
free-riding) associated with information
sharing for cybersecurity practice.
However, the requirements and typical solutions
for data sharing would be different from those for information sharing.
In this poster,
we comprehensively discuss the features of data sharing for cybersecurity research
based on a systematic comparison with information sharing for cybersecurity practice.
We also identify some intrinsic limitations of the data sharing approach.
-
Takurou Hosoi,
Kanta Matsuura.
Effectiveness of a Change in TCP Retransmission Timer Management for Low-rate DoS Attack Mitigation and Attack Variants,
The 8th International Workshop on Security (IWSEC2013),
2013
[detail]
abstract
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with low-rate mean traffic.
We proposed a change in TCP retransmission timeout management,
in which
length of TCP retransmission timer is increased
not to precisely twice of the prior timer length
in successive timeout waiting.
We investigate its effectiveness
in DoS attack mitigation analytically,
and some attack variants under this countermeasure.
-
細井琢朗,
松浦幹太.
TCP再送信タイマ管理の変更による低量DoS攻撃被害の緩和効果,
コンピュータセキュリティシンポジウム2013 (CSS2013),
CD-ROM,
2013
[detail]
abstract
インターネットにおける通信の輻輳制御として、
TCPの再送信タイムアウトの機構は大きく役立っている。
しかし既存研究で指摘されているように、
この機構は低平均通信量でのDoS攻撃を可能にする。
このDoS攻撃はTCP再送信タイマの長さが
連続するタイムアウト毎に二倍される点が被害を深刻にしている。
そこで本稿ではこの被害を緩和するような
再送信タイマの管理方法の変更と、
その場合の低量DoS攻撃の影響について検討する。
The mechanism of TCP retransmission timeout
is essential to the Internet congestion control.
But existing research pointed out
that this mechanism allows DoS attack
with low-rate mean traffic.
We proposed a change in TCP retransmission timeout management,
in which
length of TCP retransmission timer is increased
not to precisely twice of the prior timer length
in successive timeout waiting.
We investigate the effectiveness of above change
for DoS attack mitigation.
-
細井琢朗,
松浦幹太.
低量DoS攻撃を緩和するTCP再送信タイマ管理の一検討,
情報処理学会コンピュータセキュリティ研究会
(研究報告コンピュータセキュリティ(CSEC)),
Vol.62,
No.51,
pp.1-5,
2013
[detail]
abstract
インターネットにおける通信の輻輳制御として、
TCPの再送信タイムアウトの機構は大きく役立っている。
しかし既存研究で指摘されているように、
この機構は低平均通信量でのDoS攻撃を可能にする。
このDoS攻撃はTCP再送信タイマの長さが
連続するタイムアウト毎に二倍される点が被害を深刻にしている。
そこで本稿ではこの被害を緩和するような
再送信タイマの管理方法の変更と、
その場合の低量DoS攻撃の影響について検討する。
-
細井琢朗,
松浦幹太.
待ち行列推定に基づくパケットロス攻撃検知の輻輳強度依存性,
情報処理学会コンピュータセキュリティ研究会
(情報処理学会研究報告コンピュータセキュリティ(CSEC)),
Vol.60,
No.28,
pp.1-5,
2013
[detail]
abstract
ネットワーク内のルータを乗っ取って通信を操作する攻撃の一つに、
そのルータを通過する任意のパケットを削除し通信を妨害する、
パケットロス攻撃がある。
輻輳による通常のパケット廃棄がある中で
このパケットロス攻撃を高精度で検知する方式が
Mizrakらによって提案されたが、
その性能評価はまだ網羅されていない。
本稿では彼らの方式におけるパケットロス攻撃の検知性能について、
輻輳の程度に対する依存性を調べた結果を報告する。
-
松浦幹太,
細井琢朗.
セキュリティ評価基盤と周辺制度および活動に関する考察,
第59回情報処理学会コンピュータセキュリティ研究会,
Vol.2012-CSEC-59,
2012
[detail]
abstract
情報セキュリティへの科学的なアプローチ(サイバーセキュリティサイエンス)では、
セキュリティ評価の客観性と再現性を確保することが重要である。
そのために求められる基盤や制度への要件は、
実務用と研究用でそれぞれの特徴があり、具体的なソリューションのあり方も異なる。
本稿では、それらを総括して
論じるとともに、国際的な視野も取り入れてマルウェア対策研究の分野における事例研究を行った結果をまとめる。
-
細井琢朗,
松浦幹太.
待ち行列推定に基づくパケットロス攻撃検知方式のパラメータ依存性について,
コンピュータセキュリティシンポジウム2012 (CSS2012),
Vol.2012,
No.3,
pp.1-5 (CD-ROM),
2012
[detail]
abstract
ネットワーク内のルータを乗っ取って通信を操作する攻撃は、
ネットワーク制御面での攻撃と、
ネットワークデータ面での攻撃の二つに大別される。
後者では、
攻撃者は各種のパケットの送信が可能であるのみならず、
転送すべき任意のパケットを廃棄することができる。
このパケットロス攻撃は選択的に行うことで、
廃棄パケット量の少なさに対して
大きな被害を与える能力を持つ。
輻輳による通常のパケット廃棄がある中で
パケットロス攻撃を検知する技術が
Mizrakらによって提案されたが、
その性能評価はまだ網羅されていない。
本稿では彼らの方式における
不正規パケット廃棄の検知性能について、
幾つかのパラメータに対する依存性を検討する。
There are two main types of attacks
which manipulate network communication
by using a compromised router:
subverting the network control plane,
and subverting the network data plane.
The attacker of the latter type can
not only send any types of packets,
but also drop arbitrary packets.
This malicious packet loss
can selectively drop packets
which may lead to a severe threat
compared to the amount of packet losses.
Mizrak {\textit{et al.}} proposed a detection method
of this attack
in a network with congestive legitimate packet losses,
but its comprehensive evaluation has not been done yet.
This paper examines the detection performance of their methods
against some of its parameters.
-
細井琢朗,
松浦幹太.
情報セキュリティ研究向けネットワークデータの配布における技術的課題の現状調査,
情報処理学会コンピュータセキュリティ研究会,
Vol.2012-CSEC-56,
No.04,
pp.1-6,
2012
[detail]
abstract
侵入検知システムの研究向けに
作成された DARPA Datasets(1998 、 1999 、 2000)の
公開から10年、
日本ではマルウェア研究向けに CCC DATAset(2008 、 2009 、 2010 、 2011)の
配布が行われ、
多くの研究に寄与した。
この他にも近年、
PREDICT 、
WOMBAT 、
DETER など、
情報セキュリティ研究向けのネットワークデータを共通使用できる環境を整備し、
研究に役立てる活動が行われている。
本発表では、
これらの活動について
主に情報保護と安全性に関わる技術に注目し、
現状を調査した結果を報告する。
links
-
細井琢朗,
松浦幹太.
情報セキュリティ研究用ハニーポット通信データの一般頒布に向けた技術的要件の調査,
マルウェア対策研究人材育成ワークショップ2011 (MWS2011),
CD-ROM,
2011
[detail]
abstract
ネットワークセキュリティ分野の研究で利用される通信データは、
プライバシー情報や危険なデータを含む可能性があるため
ほとんどの場合公開されず、
研究成果の検証や類似研究の推進の壁となっている。
本研究では、
共通の研究用データセット CCC DATAset 2011 内
にも主要なデータとして含まれる、
ハニーポットの通信データを
セキュリティ研究向けに一般頒布することを考えた場合に、
その通信データに求められる技術的要件を、
安全性と有用性の観点から調査した。
また一例として、
CCC DATAset 2011 の「攻撃通信データ」で、
通信データ取得ホストの位置特定が目的と疑われる通信の検出を
簡便な方法で試みた。
links
-
Takurou HOSOI,
Kanta Matsuura.
Evaluation of the Common Dataset Used in Anti-Malware Engineering Workshop 2009,
Lecture Notes in Computer Science (Recent Advances in Intrusion Detection,
13th International Symposium on Recent Advances in Intrusion Detection: RAID 2010),
Vol.6307,
pp.496-497,
2010
-
竹森敬祐,
細井琢朗.
マルウェア : 10.コラム:MWS Cup 2009,
情報処理,
Vol.51,
No.3,
pp.296-299,
2010
-
細井琢朗,
畑田充弘.
MWS Cup 2009 活動報告 ~競技用通信データ作成について~,
情報処理学会コンピュータセキュリティ研究会(情報処理学会研究報告),
Vol.2009,
No.85,
pp.online,
2009
-
細井琢朗, 松浦幹太.
公開ネットワークログデータセットの調査とワーム検知数の変遷調査,
情報処理学会コンピュータセキュリティ研究会(情報処理学会研究報告),
Vol.2009,
No.20,
pp.181-186,
2009
-
細井琢朗, 松浦幹太.
IPトレースバック技術に於ける誤探知率の扱いについて,
2008年暗号と情報セキュリティ・シンポジウム(SCIS2008)予稿集,
CD-ROM,
2008
-
Takuro Hosoi,
Kanta Matsuura,
Hideki Imai.
IP Trace Back by Packet Marking Method with Bloom Filters,
Proceedings of the 2007 IEEE International Carnahan Conference on Security Technology (2007 ICCST) 41st Annual Conference,
pp.255-263,
2007
-
細井琢朗,
松浦幹太.
ランダムグラフを用いたIPトレースバックの誤探知率の評価について,
2007年暗号と情報セキュリティシンポジウム(SCIS2007)予稿集,
2007
-
細井琢朗,
松浦幹太,
今井秀樹.
暗号要素技術を用いない決定論的パケットマーキング法による単一パケットIPトレースバックについて,
2006年暗号と情報セキュリティ・シンポジウム(SCIS2006)予稿集(CD-ROM),
2006
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバックでの複数パケット利用追跡について,
コンピュータセキュリティシンポジウム(CSS)2005論文集,
情報処理学会シンポジウムシリーズ,
Vol.2005-I,
No.13,
pp.91-96,
2005
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバックの擬陽性確率について,
2005年暗号と情報セキュリティ・シンポジウム(SCIS2005)予稿集,
Vol.Ⅲ,
pp.1555-1560,
2005
-
細井琢朗,
松浦幹太,
今井秀樹.
Bloomフィルタを用いたパケットマーキング法によるIPトレースバック,
コンピュータセキュリティシンポジウム(CSS)2004論文集,
情報処理学会シンポジウムシリーズ,
Vol.2004-I,
No.11,
pp.181-186,
2004
-
細井琢朗,
松浦幹太,
今井秀樹.
IPデータグラムが正規に変換される場合のIPトレースバック技術について,
2004年暗号と情報セキュリティ・シンポジウム(SCIS2004)予稿集,
Vol.Ⅱ,
pp.1369-1373,
2004
研究テーマ
Publications
-
Kensuke Tamura,
Kanta Matsuura.
Improvement of Anomaly Detection Performance using Packet Flow Regularity in Industrial Control Networks,
IEICE Transactions on Fundamentals of Electronics,
Communications and Computer Sciences,
Vol.E102-A,
No.1,
pp.65-73,
2019
[detail]
abstract
Since cyber attacks such as cyberterrorism against Industrial
Control Systems (ICSs) and cyber espionage against companies managing
them have increased, the techniques to detect anomalies in early
stages are required.
To achieve the purpose, several studies have developed
anomaly detection methods for ICSs.
In particular, some techniques
using packet flow regularity in industrial control networks have achieved
high-accuracy detection of attacks disrupting the regularity, i.e.
normal
behavior, of ICSs.
However, these methods cannot identify scanning attacks
employed in cyber espionage because the probing packets assimilate
into a number of normal ones.
For example, the malware called Havex is
customized to clandestinely acquire information from targeting ICSs using
general request packets.
The techniques to detect such scanning attacks
using widespread packets await further investigation.
Therefore, the goal of
this study was to examine high performance methods to identify anomalies
even if elaborate packets to avoid alert systems were employed for attacks
against industrial control networks.
In this paper, a novel detection model
for anomalous packets concealing behind normal traffic in industrial control
networks was proposed.
For the proposal of the sophisticated detection
method, we took particular note of packet flow regularity and employed the
Markov-chain model to detect anomalies.
Moreover, we regarded not only
original packets but similar ones to them as normal packets to reduce false
alerts because it was indicated that an anomaly detection model using the
Markov-chain suffers from the ample false positives affected by a number
of normal, irregular packets, namely noise.
To calculate the similarity between
packets based on the packet flow regularity, a vector representation
tool called word2vec was employed.
Whilst word2vec is utilized for the
calculation of word similarity in natural language processing tasks, we applied
the technique to packets in ICSs to calculate packet similarity.
As a
result, the Markov-chain with word2vec model identified scanning packets
assimilating into normal packets in higher performance than the conventional
Markov-chain model.
In conclusion, employing both packet flow
regularity and packet similarity in industrial control networks contributes
to improving the performance of anomaly detection in ICSs.
-
田村研輔,
松浦幹太.
制御システムにおける通信の規則性を利用した異常検知,
2018年暗号と情報セキュリティシンポジウム(SCIS2018)予稿集,
USB,
2018
[detail]
abstract
重要インフラ事業者等が運用する制御システムに対するサイバー攻撃が発生し、早期に異常を検知する
仕組みが必要となっている。
制御システムにおける異常検知手法は、システムの動作に不可欠なプロセスや
通信のみ許可するホワイトリストを使用したものや単位時間当たりの通信量に着目したものが提案されてきた。
これらの手法は、制御システムのプロセスや通信が周期的であることや通信量の変動が微小であるという
特徴を利用している。
しかし、制御システムに対するサイバー攻撃は、稼働中の機器や構成を把握する
ための調査が長時間かけて行われ、その結果に応じて深刻な攻撃が行われるケースが想定されている。
この場合、制御システムのプロセスには影響を与えず、通信量も大きく変動させずに攻撃が行われるため、
従来の手法での検知は困難である。
そこで、本稿では、時系列的に規則性を有する制御システムの通信を
自然言語に見立て、単語の類似性を評価するword2vecを制御システムの通信に適用して異常検知を行う。
具体的には、学習データから予測される通信及びそれに類似した通信と実際の通信が異なる場合に異常
として検出する手法を評価する。
研究テーマ
Publications
-
Ryuya Hayashi,
Junichiro Hayata,
Keisuke Hara,
Kenta Nomura,
Masaki Kamizono,
Goichiro Hanaoka.
Multi-query Verifiable PIR and Its Application,
Lecture Notes in Computer Science (Cryptology and Network Security,
23rd International Conference,
CANS 2024),
Vol.14906,
No.1,
pp.166-190,
2024
[detail]
abstract
Private information retrieval (PIR) allows a client to obtain records from a database without revealing the retrieved index to the server.
In the single-server model, it has been known that (plain) PIR is vulnerable to selective failure attacks, where a (malicious) server intends to learn information of an index by getting a client's decoded result.
Recently, as one solution for this problem, Ben-David et al.
(TCC 2022) proposed verifiable PIR (vPIR) that allows a client to verify that the queried database satisfies certain properties.
However, the existing vPIR scheme is not practically efficient, especially when we consider the multi-query setting, where a client makes multiple queries for a server to retrieve some records either in parallel or in sequence.
In this paper, we introduce a new formalization of multi-query vPIR and provide an efficient scheme based on authenticated PIR (APIR) and succinct non-interatctive arguments of knowledge (SNARKs).
More precisely, thanks to the nice property of APIR, the communication cost of our multi-query vPIR scheme is O(n · |a| + |\pi|), where n is the number of queries, |a| is the APIR communication size, and |\pi| is the SNARK proof size.
That is, the communication includes only one SNARK proof.
In addition to this result, to show the effectiveness of our multi-query vPIR scheme in a real-world scenario, we present a practical application of vPIR on the online certificate status protocol (OCSP) and provide a comprehensive theoretical evaluation on our scheme in this scenario.
Especially in the setting of our application, we observe that integrating SNARK proofs (for verifiability) does not significantly increase the communication cost.
-
Ryuya Hayashi,
Taiki Asano,
Junichiro Hayata,
Takahiro Matsuda,
Shota Yamada,
Shuichi Katsumata,
Yusuke Sakai,
Tadanori Teruya,
Jacob C.
N.
Schuldt,
Nuttapong Attrapadung,
Goichiro Hanakoka,
Kanta Matsuura,
Tsutomu Matsumoto.
Signature for Objects: Formalizing How to Authenticate Physical Data and More,
Lecture Notes in Computer Science (The 27th International Conference on Financial Cryptography and Data Security: FC2023),
Vol.13950,
pp.182-199,
2023
[detail]
abstract
While the integrity of digital data can be ensured via digital signatures,
ensuring the integrity of physical data,
i.e., objects, is a more challenging task.
For example, constructing a digital signature on data extracted
from an object does not necessarily guarantee that an adversary
has not tampered with the object or replaced this
with a cleverly constructed counterfeit.
This paper proposes a new concept called signatures for objects
to guarantee the integrity of objects cryptographically.
We first need to consider a mechanism that allows us to mathematically
treat objects which exist in the physical world.
Thus, we define a model called an object setting in which
we define physical actions, such as a way to extract data
from objects and test whether two objects are identical.
Modeling these physical actions via oracle access enables
us to naturally enhance probabilistic polynomial-time algorithms
to algorithms having access to objects - we denote
these physically enhanced algorithms (PEAs).
Based on the above formalization, we introduce two security definitions
for adversaries modeled as PEAs.
The first is unforgeability, which is the natural extension
of EUF-CMA security, meaning that any adversary
cannot forge a signature for objects.
The second is confidentiality, which is a privacy notion,
meaning that signatures do not leak any information about signed objects.
With these definitions in hand,
we show two generic constructions: one satisfies unforgeability
by signing extracted data from objects; the other satisfies unforgeability
and confidentiality by combining a digital signature with obfuscation.
-
林リウヤ、勝又秀一、坂井祐介、松浦幹太.
Anonymous Reputation Systemの簡潔で自然な構成とその効率的な一般的構成法,
2023年暗号と情報セキュリティシンポジウム
(SCIS2023)予稿集,
2023
[detail]
abstract
Anonymous Reputation System (ARS) は,
ECサイトにおいてユーザが購入した商品に対して匿名でレビューを
付けられるシステムである.
これはBl ̈omer らにより初めて定義され(FC’15),
その後El Kaafaraniらにより安全性の強化が行われた(FC’18).
本研究の貢献は以下の3つである.
1つめは,ARSのモデルの再検討である.
我々はBl ̈omerらのモデルより厳密で,
El Kaafaraniらのモデルより現実を捉えた新たなモデルを提案する.
2つめは,
ARSの安全性の強化である.
既存研究ではレビューから投稿者が特定できないという
匿名性のみを考えていたが,
システムの公開情報から購入者の情報が
漏洩する可能性を考慮していなかったため,
対応する安全性として新たにPurchase Privacyを導入する.
また, ある性質を満たすARSは自然にPurchase Privacy
を満たすことも示す.
3 つめは,効率的な一般的構成法を示すことである.
本稿はARSの一般的構成法を示す初めての論文となる.
-
浅野泰輝,
林リウヤ,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
「モノの電子署名」の複数物体への拡張,
Extension of "Signature for Objects" to Multiple Objects,
2022年暗号と情報セキュリティシンポジウム (SCIS2022) 予稿集,
2022
[detail]
abstract
近年の偽造品や海賊版製品の取引の増加に伴い,取引の正当性を検証可能にする技術の必要性が高まっており,その1つとして電子署名がある.
しかしながら,従来の電子署名方式では,電子データではない物体そのものに対しての署名作成はできない.
そこで,林ら(CSS2021)により,物体の加工や電子データへの変換といった物理的な操作を取り扱うことが可能な枠組みを定式化することで,
任意の物体を対象とした「モノの電子署名」が提唱された.
しかし,「モノの電子署名」は一物体のみに対して加工,変換を施すことを想定しているため,
本稿ではこの枠組みを複数物体においても動作するよう拡張し,より実システムに近い形での署名方式を与える.
特に,サプライチェーンの各ステップにおいて物体の生成,加工,組み合わせのいずれかが可能であるという状況のもとで,
各物体に対してそれがどのような変遷をたどってきたかを保証する署名を付与できるモデルを導入する.
さらに,その安全性定義,およびAppend-Only署名と集約署名を用いた一般的構成を提案し,簡単な概念実証も行う.
-
林リウヤ,
浅野泰輝,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
モノの秘匿性を考慮した「モノの電子署名」.
"Signature ofr Objects" with Object Privacy,
2022年暗号と情報セキュリティシンポジウム (SCIS2022) 予稿集,
2022
[detail]
abstract
物体の偽造に対する安全性の暗号学的な評価手法として「モノの電子署名」が提案されている.
これは電子署名方式の一種であるが,従来の電子署名とは異なりメッセージだけでなく物体にも署名できる方式となっている.
ここでは安全性として偽造不可能を表す EUF-COA が定義されている.
モノの電子署名方式の特徴の一つに,署名された物体は物理空間で送られ,署名自体はサイバー空間で送信されることが挙げられる.
ここで,署名を入手した悪意のある人が署名単体から対応する物体を特定できてしまうと,
その署名を用いて検証が通過するような,署名されていない物体を生成可能である恐れがある.
このとき生成された物体は検証者に正当なものとみなされてしまう.
これを防ぐために新たな安全性としてモノの秘匿性を定義する.
モノの秘匿性は署名単体から対応する物体が特定できないという安全性を表す.
本稿ではモノの秘匿性の安全性定義を行い,EUF-COA 安全性とモノの秘匿性の両方を満たす構成を示す.
具体的には,EUF-COA 安全性は基盤とする電子署名方式における EUF-CMA 安全性と確率的ハッシュにおける衝突困難性に帰着でき,
モノの秘匿性は Relational Hash における偽造不可能性に帰着できることを示す.
-
林リウヤ,
浅野泰輝,
林田淳一郎,
松田隆宏,
山田翔太,
勝又秀一,
坂井祐介,
照屋唯紀,
シュルツヤコブ,
アッタラパドゥンナッタポン,
花岡悟一郎,
松浦幹太,
松本勉.
モノの電子署名:物体に署名するための一検討,
Signature for Objects: Formalization,
Security Definition,
and Provably Secure Constructions,
2021年コンピュータセキュリティシンポジウム(CSS2021)予稿集,
pp.740-747,
2021
[detail]
abstract
従来の電子署名方式では,電子データでない物体に対して電子署名を作成することができない.
そこで,
物体への操作を暗号学的に定式化することで,
任意の物体を対象として作成が可能な電子署名である「モノの電子署名」を提案する.
物体への操作は,物体を加工して新たな物体を作り出す操作であるコマンドと,
物体を加工することなく電子データに変換する操作であるセンシングの2つに分けられる.
このうちセンシングは同じ物体からであっても実行されるたびに異なる電子データを返すが,
それに左右されることなく物体に対する有効な電子署名を作成できる方式が構成可能である.
本稿では,この方式が満たすべき安全性定義とそれを満たす構成を示す.
また,その構成の安全性が
基盤とする電子署名方式における選択文書攻撃に対する存在的偽造不可(EUF-CMA)に帰着できることも示す.
研究テーマ
Publications
-
大橋盛徳,
張一凡,
細井琢朗,
松浦幹太.
DAGベース分散タイムスタンプ手法の検討,
第194回マルチメディア通信と分散処理・第100回コンピュータセキュリティ合同研究発表会,
pp.online,
2023
[detail]
abstract
データ活用のニーズの高まりに伴い,
データの存在証明は金融取引の台帳管理と同様に重要となっている.
昨今で存在証明に使われることが多くなったブロックチェーンは,
仮想通貨を起点とした技術であり,
コンセンサスなどのセキュリティ対策や台帳の保存に多くの計算資源が必要である.
ブロックチェーンを活用した存在証明の利用者は,
これらのリソースに対して手数料を支払い利用する.
しかしながら,
データ操作ごとに手数料を支払い,
存在証明を取得することは現実的ではない.
そこで,
我々はDAGベースの分散タイムスタンプ手法を考案した.
本手法は,
ブロックチェーンのような統一的な状態生成を廃し,
ネイティブトークンを用いたインセンティブではなく,
自身のデータの存在証明確保をモチベーションとして,
ユーザ自身が提供する計算資源で動作することを目指した.
本稿では,
考案したDAGベースの分散タイムスタンプ手法について解説する.
研究テーマ
Publications
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
Updatable Encryption Secure Against Randomness Compromise,
Lecture Notes in Computer Science (Cryptology and Network Security,
23rd International Conference,
CANS 2024),
Vol.14906,
No.1,
pp.47-69,
2024
[detail]
abstract
Updatable encryption (UE) allows a third-party server to update outsourced encrypted data without exposing keys and plaintexts.
The server can update ciphertexts to ones under a new key using an update token provided by the client.
UE can realize efficient key rotation and is effective against key compromise.
The standard security notions of UE capture the property that even if keys or update tokens are compromised, the confidentiality of messages is maintained by the key update and ciphertext update.
In general, the randomnesses used in the encryption and ciphertext update algorithms must be kept secret in the same way as the keys.
On the other hand, while key compromise is considered in existing security notions, randomness compromise is not.
In this paper, we define a new security notion for UE, IND-UE-R security, that is resilient to the compromise of randomnesses used to generate or update ciphertexts.
Furthermore, we prove that the UE construction RISE (EUROCRYPT'18) satisfies our proposed security notion.
-
Yuichi Tanishita,
Ryuya Hayashi,
Ryu Ishii,
Takahiro Matsuda,
Kanta Matsuura.
On the Implications from Updatable Encryption to Public-Key Cryptographic Primitives,
Lecture Notes in Computer Science (Information Security and Privacy,
The 29th Australasian Conference on Information Security and Privacy: ACISP2024),
Vol.14895,
No.1,
pp.303-323,
2024
[detail]
abstract
Updatable encryption (UE) is a special type of symmetric-key encryption (SKE) that allows a third party to update ciphertexts while protecting plaintexts.
Alamati et al.
(CRYPTO 2019) showed a curious connection between UE and public-key encryption (PKE) that PKE can be constructed from UE.
This implication result is somewhat surprising since it is well-known that PKE cannot be constructed from (ordinary) SKE in a black-box manner.
In this paper, we continue to study the relationships between UE and other cryptographic primitives to obtain further insights into the existence and power of UE, and assumptions required for it.
More specifically, we introduce some security properties that are natural to consider for UE (and are indeed satisfied by some existing UE schemes), and then investigate what types of public-key cryptographic primitives can be constructed from UE with the additional properties.
Specifically, we show the following results:
- 2-round oblivious transfer (OT) can be constructed from UE that satisfies the \emph{oblivious samplability (OS)} of original ciphertexts (i.e.
those generated by the ordinary encryption algorithm, as opposed to those generated by the ciphertext-update algorithm) and the OS of update tokens (that are used for updating ciphertexts).
- 3-round OT can be constructed from UE with OS of updated ciphertexts (i.e.
those generated by the ciphertext-update algorithm).
- Lossy encryption and PKE secure against selective-opening attacks can be constructed from UE if it satisfies what we call \emph{statistical confidentiality of original ciphertexts}.
-
谷下友一,
林リウヤ,
石井龍,
松田隆宏,
松浦幹太.
暗号文の生成・更新に用いる乱数の漏洩に耐性を持つ更新可能暗号,
Updatable Encryption Resilient to Encryption/Update Randomness Leakage,
2024年 暗号と情報セキュリティシンポジウム (SCIS2024) 予稿集,
2024
[detail]
abstract
更新可能暗号(Updatable Encryption, UE)は,第三者に平文や鍵を秘匿しながら
暗号文の更新を委託可能な技術であり,鍵の漏洩への対処として有用である.
UEの標準的な安全性は,鍵や更新トークンの漏洩が発生しても,
鍵更新処理と暗号文更新処理によって平文の秘匿性が保持されることを捉えている.
一般に,暗号化や暗号文更新処理に用いる乱数は,鍵と同様に秘匿される.
一方で鍵の漏洩は既存の安全性で考慮されているが,乱数の漏洩は考慮されていない.
本研究では,更新前暗号文の生成に用いる乱数の漏洩にも耐性をもつ更新可能暗号の安全性を新たに定義する.
さらに,DDH仮定のもとで新たに定義した安全性を満たすUEの具体的な方式を示す.
-
谷下友一,
林リウヤ,
松田隆宏,
松浦幹太.
更新可能暗号と公開鍵系の暗号要素技術の関係について,
2023年コンピュータセキュリティシンポジウム(CSS2023)予稿集,
pp.447-454,
2023
[detail]
abstract
更新可能暗号(UE)は,第三者に平文を秘匿しながら暗号文の更新を委託できる共通鍵系の暗号技術である.
Alamatiら(CRYPTO 2019)は, UEから公開鍵暗号を構成できることを示した.
Alamatiらの結果により,U Eを構成するためには, 少なくとも公開鍵暗号を構成するために
必要な仮定と同等以上の仮定が必要となることが明らかとなった.
本稿では, UEを実現するために必要な仮定に関して更なる知見を得るために, UEと他の暗号要素技術の関係を調べ,
次の2つの構成可能性に関する含意関係を新たに明らかにした.
(1)暗号化処理によって生成された暗号文と更新トークンがOblivious Samplability(OS)と呼ばれる
自然な性質を満たすUEから2ラウンドの紛失通信が構成可能である.
(2)暗号文更新処理によって生成された暗号文がOSを満たすUEから3ラウンドの紛失通信が構成可能である.
|
